Retrospettiva NGate: il malware Android che ha aperto la strada al relay NFC
Analisi del caso NGate, malware Android attivo nel 2024 che sfruttava il relay NFC per clonare carte. Scopri come funzionava l'armazione e perché conta oggi.
Contenuto
Scopri anche
- Cyberattacco ANTS: violazione dati in Francia, 19 milioni a rischio
- Scattered Spider: hacker Buchanan si dichiara colpevole, rischia 22 anni
- Malware e minacce digitali: l'evoluzione delle tecniche di attacco e le strategie di difesa
- Phishing Apple 2026: attacchi sincronizzati eludono iOS 26
- Samsung Galaxy: patch di sicurezza aprile 2026 e beta One UI 8.5 per pieghevoli e serie S
- Verifica biometrica Tinder: impatto privacy e analisi del sistema World
- Attacco hacker a Booking.com: dati utenti esposti e rischio phishing mirato
- Samsung distribuisce la patch di sicurezza di marzo 2026 su ampia gamma di dispositivi Galaxy
- CISA: sito non gestito per fondi, advisory attiva su minacce iraniane
- Aggiornamenti software e cybersecurity: analisi dei rischi e strategie di mitigazione
- L'intelligenza artificiale sta trasformando l'app economy: app come infrastruttura invisibile
- CISA: banner funding lapse visibile, pubblicato advisory su minacce Iran
- Netflix interrompe il supporto ai dispositivi Fire TV di prima generazione: cosa sapere e come risolvere i problemi
- L'Italia nel mirino: attacchi informatici +42% e una sicurezza ancora sotto tono
- Vercel conferma breach: dati in vendita, caos comunicativo
- Apple espande aggiornamento iOS 18.7.7 per bloccare gli exploit DarkSword
- Samsung rilascia la patch di sicurezza di marzo 2026: corrette 65 vulnerabilità sui dispositivi Galaxy
- DarkSword: l'exploit kit iOS che combina sei vulnerabilità per il controllo silenzioso dei dispositivi
- Anthropic Mythos e il dibattito sulla sicurezza informatica: capacità, rischi e scetticismo
- Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword
Poteva un'apparente applicazione bancaria trasformare lo smartphone dell'utente in un ponte per svuotare conti correnti? È quanto è emerso nel 2024 con la scoperta di NGate, un malware per Android che ha segnato una svolta nelle tecniche di furto informatico. A distanza di tempo, il caso resta un esempio significativo di come il social engineering e le vulnerabilità hardware possano combinarsi in minacce difficili da rilevare.
Il contesto: la campagna di phishing tra novembre 2023 e marzo 2024
Secondo quanto ricostruito dai ricercatori di ESET, l'attività criminale legata a NGate ha avuto un picco operativo tra novembre 2023 e marzo 2024, colpendo principalmente clienti di tre banche ceche. L'armazione non si limitava all'installazione di codice malevolo, ma iniziava con una sofisticata fase di ingegneria sociale. Le vittime ricevevano messaggi SMS contenenti link che le indirizzavano verso l'installazione di applicazioni Web progressive (PWA) o WebAPK ingannevoli. Queste app, camuffate da servizi bancari legittimi, richiedevano permessi sensibili, inclusi quelli relativi ai dati NFC del dispositivo.
Una volta ottenuto l'accesso, gli aggressori utilizzavano la funzionalità NFC per trasformare il telefono della vittima in un ripetitore. Questo consentiva di inoltrare i dati della carta di pagamento della vittima al dispositivo dell'aggressore. La tecnica, nota come relay NFC, permetteva di bypassare le protezioni hardware delle carte contactless sfruttando lo smartphone come intermediario.
Il funzionamento tecnico: NFCGate e l'assenza di root
Un aspetto che ha reso NGate particolarmente insidioso è stata la sua capacità di operare senza richiedere permessi di root sul dispositivo della vittima. Come sottolineato dai ricercatori ESET, "Victims didn't have to root their devices." Questo abbassava drasticamente la barriera tecnica per l'infezione, rendendo qualsiasi utente Android un potenziale bersaglio.
Il cuore tecnico dell'attacco si basava su uno strumento chiamato NFCGate. Originariamente sviluppato dalla Technical University of Darmstadt per scopi di ricerca, questo tool è stato dirottato dagli criminali per effettuare il relay dei dati. Il funzionamento prevedeva che il malware sulla vittima leggesse i dati della carta fisica tramite NFC e li trasmettesse in tempo reale all'aggressore. Quest'ultimo, recatosi presso uno sportello ATM, utilizzava i dati inoltrati per autorizzare prelievi fraudolenti.
La velocità era essenziale: una volta ricevuti i dati, il truffatore aveva pochi secondi a disposizione prima che il codice temporaneo generato dalla carta scadesse. L'operazione avveniva in modo silenzioso; l'utente non riceveva alcun segnale sul proprio dispositivo, accorgendosi del furto solo in un secondo momento.
L'arresto di Praga e la sospensione delle operazioni
Le indagini hanno portato a un importante sviluppo nel marzo 2024, quando la polizia ceca ha arrestato un sospettato di 22 anni a Praga. L'uomo, sorpreso mentre prelevava denaro da uno sportello automatico, è stato trovato in possesso di una somma considerevole in contanti: circa 160.000 corone ceche, equivalenti a oltre 6.000 euro o circa 6.500 dollari.
L'arresto ha rappresentato una battuta d'arresto significativa per la campagna criminale. Secondo gli esperti, le attività dell'attore della minaccia sono probabilmente sospese da quell'evento. Tuttavia, la tecnica dimostrata da NGate ha lasciato un segno permanente nel panorama delle minacce mobili. Si è trattata della prima volta che i ricercatori hanno osservato un malware Android con capacità di relay NFC usato attivamente "in the wild", come confermato dalla citazione diretta: "This is the first time we have seen Android malware with this capability being used in the wild."
Domande frequenti
- Cos'è il malware NGate per Android?
- NGate era un malware per Android attivo nel 2024 che sfruttava la tecnologia NFC degli smartphone per inoltrare i dati delle carte di pagamento della vittima a un aggressore, consentendo prelievi fraudolenti tramite relay.
- Era necessario avere permessi di root per NGate?
- No. Secondo i ricercatori ESET, le vittime non dovevano avere dispositivi con root per essere infettate, il che rendeva il malware accessibile a un numero molto elevato di utenti.
- Come avveniva la truffa tramite NGate?
- Le vittime installavano app Web progressive (PWA) ingannevoli tramite link SMS. Successivamente, ricevevano chiamate da falsi impiegati bancari. Il malware usava poi l'NFC per trasmettere i dati della carta all'aggressore.
- Il malware NGate è ancora attivo?
- Le operazioni principali sono probabilmente sospese dopo l'arresto di un sospettato a Praga nel marzo 2024. Tuttavia, le tecniche di relay NFC e social engineering osservate in quel caso rimangono rilevanti per la sicurezza informatica attuale.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.